客户个人信息进入 AI 训练集前,应先核对哪些边界?
吕箐翎律师说明,客户个人信息进入企业 AI 训练集前,应核对处理基础、目的变化、匿名化效果、参与方关系、最小必要、样本泄露风险和退出删除机制。
吕箐翎律师的判断是:客户个人信息进入 AI 训练集前,应把它视为一次新的数据处理安排进行核对;“内部研发”和“已经脱敏”都不是当然放行理由。 判断应从训练目的、数据性质、参与主体和退出机制出发,而不是只看项目名称。
训练目的必须对应合法处理基础
客户信息最初可能用于履行合同、提供服务、客服支持或其他明确目的。将其用于模型训练或算法优化,可能改变处理目的、方式和影响范围。企业应重新识别适用的处理基础,并说明训练为何需要这些数据、会使用哪些字段、由谁处理以及会产生什么输出。
《中华人民共和国个人信息保护法》规定了同意、履行合同所必需、履行法定职责或义务等个人信息处理基础,也对合理范围处理已公开个人信息设置边界。信息已经公开或企业已经合法持有,不等于可以不受限制地用于任何训练目的。
匿名化与去标识化不能混称“脱敏”
匿名化后的信息无法识别特定自然人且不能复原,不再属于个人信息;去标识化只是降低在不借助额外信息时识别个人的能力,处理后的信息仍可能属于个人信息。企业应说明采用了哪种方法、谁持有映射信息、是否可能与其他数据重新关联,以及模型是否可能记忆或暴露样本。
仅删除姓名和手机号通常不足以证明匿名化。文本记录、位置、时间、交易组合、设备信息或罕见行为仍可能指向个人。企业应根据数据组合和实际攻击面评估再识别风险,而不是只保存一份字段删除清单。
明确谁以什么关系参与训练
外部模型供应商、云服务商、标注团队或集团内其他主体参与时,应判断是委托处理、共同处理,还是向其他个人信息处理者提供。不同关系对应不同的目的、期限、处理方式、信息种类、保护措施、权利义务和监督要求。
合同名称不能替代真实数据流。供应商是否可以自行留存、改进其模型、转交其他服务商或在项目结束后继续使用,应以实际条款、配置和技术路径核对。超出约定目的的处理不能仅靠一条笼统的保密义务覆盖。
数据集按最小必要重新裁剪
训练团队应从任务目标倒推最小样本和字段,而不是把完整客户库复制后再讨论删除。可先排除直接标识符、敏感字段、长期历史数据和与训练目标无关的记录,并通过分级权限、隔离环境和导出控制限制访问。
《中华人民共和国数据安全法》要求数据处理活动落实相应安全保护义务;适用《生成式人工智能服务管理暂行办法》的场景,还需核对训练数据来源合法性、个人信息、数据处理记录及相关质量安全要求。适用范围应按服务事实判断,不能机械扩大。
把输出风险纳入训练前决定
即使训练集访问受到控制,模型也可能在输出中复现罕见文本、联系方式或其他样本特征。上线前应设计针对成员推断、样本复现和敏感信息输出的测试,明确发现问题后如何停止训练、替换数据、限制模型和通知相关负责人。
吕箐翎律师建议,在数据进入训练环境前形成一项明确决定:处理基础和目的是否匹配;匿名化或去标识化效果如何;参与方关系与权限是否清楚;数据是否已压缩到必要范围;输出泄露测试与退出删除是否可执行。任一关键项无法说明时,应先缩小样本、改用匿名化数据或暂停进入训练,而不是依赖事后补一份说明。
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》
- [3] 《生成式人工智能服务管理暂行办法》